安全设置交换机的五大注意事项

　　大家都应该接触过交换机吧，其实大家可以发现在交换机设置这一个方面真的有非常多值得我们去学习的地方。那么为了能够让我们的网络变得更加的稳定更加的完善，小编在这篇教程里面，简单的为大家介绍一下Cisco交换技术之安全设置交换机的五大注意事项。

　　大家可以看到现在有很多的新型交换机都能够直接通过建立规则的这一种方式来实现各种各样的过滤需求。那么规则的设置主要有两种模式，第一种模式就是是MAC模式，能够根据用户需要依据源MAC或者是目的MAC有效的实现数据隔离的目的。那么另外一种模式是IP模式，这一种模式能够直接通过源IP、协议、目的IP、源应用端口以及目的应用端口来进行过滤数据封包。

　　假如说大家想要建立一个好的规则，那么就一定要附加到相对应的接收或者是传送端口上面，那么当交换机端口接收或者是转发数据的时候，根据过滤规则来进行过滤封包，决定究竟是转发抑或是丢弃。另外一个方面，那就是交换机是通过硬件“逻辑与非门”对于过滤规则进行逻辑的运算，从而实现过滤规则确定，这样子是完全不会影响到数据的转发速率。

　　注意事项一：Watchdog以及Syslog

　　首先小编先说一下Watchdog吧，watchdog是Linux看门狗。事实上它就是通过设定一个计时器，假如说设定的时间间隔里面的计时器没有重启的话，那么就会重新生成一个内在CPU重启指令，让得网络设备重新进行启动，这一个功能能够让得交换机在紧急故障又或者是意外情况下的时候能够智能自动的重新启动，从而保障了网络的正常运行。

　　接下来小编要说的交换机里面的Syslog日志功能，系统日志(Syslog)协议是在一个IP网络中转发系统日志信息的标准，它是在美国加州大学伯克利软件分布研究中心(BSD)的TCP/IP系统实施中开发的，目前已成为工业标准协议，可用它记录设备的日志。大家能够把系统配置、系统错误、状态定期报告、状态变化、系统退出等等用户设定的期望信息传送给日志服务器，那么网络管理人员就能够依据这一些信息掌握设备的运行状况，早一点发现问题的所在，能够及时的进行配置设定以及排障，这样子就能够保障到网络可以安全并稳定地运行了。

　　注意事项二：双映像文件

　　在一些比较新的交换机里面，就比如说ASUSGigaX2024/2048，它还具备双映像文件。这一个功能保护设备在异常情况下面(也就是固件升级失败等等)依然还是能够正常启动运行。那么文件系统又能够分成mirror以及majoy这两个部分进行保存的，假如说有一个文件系统损害或者是中断的话，那么另外一个文件系统就会将它进行重写，假如说这两个文件系统通通都损害可，那么网络设备就会清除这两个文件系统并且还会重写为出厂时候的默认设置，这样子就能够确保系统安全的启动运行了。

　　注意事项三：流量控制(也就是trafficcontrol)

　　交换机的流量控制能够预防因为组播数据包、广播数据包以及因为目的地址错误的单播数据包数据流量过大，从而造成交换机带宽的异常负荷情况发生，另外还可以提高系统的整体效能，这样子就能够保持到网络安全稳定的启动运行了。

　　注意事项四：802.1X基于端口的访问控制

　　为了能够顺利的阻止一些非法用户对于局域网的接入，真正程度上的保障到网络的安全性，基于端口的访问控制协议802.1X，不管是在有线LAN或者是WLAN中里面都已经得到了广泛的应用。就比如说华硕最新的GigaX2024/2048等等新一代交换机产品，这一些产品不仅仅可以支持802.1X里面的Local、RADIUS验证方式，除此之外还支持802.1X里面的DynamicVLAN的接入。

　　简单来说，也就是在VLAN以及802.1X这两者的基础上面，持有某一个用户账号的用户不管是在网络里面的任何一个地方接入，都会超越原本拥有的802.1Q下面基于端口VLAN的限制，始终接入和这一个账号所指定的VLAN组里面，这一个功能不仅仅可以为网络里面的移动用户对于资源的应用提供了一个灵活便利，同一时间还保障了网络资源应用的安全性;另外一个方面，那就是GigaX2024/2048交换机还支持802.1X里面的GuestVLAN功能，也就是说在802.1X的应用里面，假如说端口指定了GuestVLAN项，那么这一个端口下面的接入用户假如认证失败或者是根本没有这一个用户账号的话，那么就会成为GuestVLAN组里面的成员，能够直接享用这一个组里面的相对应的网络资源，这一种功能同样也能够为网络应用的某一些群体开放一些最低限度的资源，并且还可以为整一个网络提供了一个最外围的接入安全。

　　注意事项五：SSH以及SNMPv3

　　安全网管SNMPv3提出了一个全新的体系结构，那就是把每一个版本的SNMP标准通通都集中到一起，从而用来加强网管的安全性。SNMPv3建议的安全模型就是基于用户的安全模型，也就是USM.USM对于网管消息进行加密以及认证是基于用户进行的。小编就具体一点来说吧，那就是使什么协议以及密钥进行加密以及认证通通都是由用户名称(也就是userNmae)权威引擎标识符(也就是EngineID)来决定(推荐加密协议CBCDES，认证协议HMAC-MD5-96以及HMAC-SHA-96)，仅仅只需要通过认证、加密以及时限提供数据源认证、数据完整性、消息时限服务以及数据保密，这样子操作的话，就能够非常有效的防止一些非授权用户对于管理信息的修改、伪装以及窃听了。

　　至于通过Telnet的远程网络管理这一个方面，就是因为Telnet服务里面有一个比较致命的弱点，那就是它是使用明文的这一种方式来传输用户名以及口令的。由此可见，这样子就非常容易会被一些别有用心的人窃取到口令了，从而受到一些攻击了，但是在采用SSH（也就是安全外壳协议）进行通讯的似乎，用户名和口令这两者通通进行了加密操作，从而就可以非常有效的防止了对于口令的窃听，这样子会更加方便网络管理人员进行远程的安全网络管理。

　　小编结语：

　　今天的考试认证教程，大致介绍如此，希望能助您在学习思科认证的道路上一臂之力，能让你更稳更好更快的走在学习Cisco的路上。如果你还是与犹未尽，可以进入我们的官网课课家教育，了解更多的Cisco认证入门教程。